Definieren Sie den Bedrohungsakteur

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Definieren Sie Bedrohungsakteure, bei denen es sich um Einzelpersonen, Gruppen oder Organisationen handelt, die mit böswilligen Absichten handeln.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.analyst

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum.
    2. Klicken Sie im Arbeitsbereich auf das Symbol Threat Intel Library (Threat Intel Library).
    3. Wechseln Sie zum Bedrohungsakteurobjekt.
    4. Klicken Sie auf Neu.
      Hinweis:
      Wenn Sie neue Objektdatensätze für erkennbare Elemente, Indikatoren, Entitäten oder Objekte erstellen, wird ein Quelldatensatz erstellt und eine Meldung angezeigt, dass der neue Objektdatensatz erstellt wird. Anschließend wird der Benutzer zum aggregierten Datensatz weitergeleitet.
    5. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Detailansicht des Bedrohungsakteurs
      Feld Beschreibung
      ID Eindeutige ID für eine Vorgehensweise zum Verhindern eines Angriffs.
      Name Geben Sie einen beschreibenden Namen ein, um den Standort zu identifizieren.
      Beschreibung Eine Beschreibung, die weitere Details und Kontext zum Angriffssatz enthält, möglicherweise einschließlich des Zwecks und der wichtigsten Merkmale.
      Aliase Eine Liste mit weiteren Namen zur Identifizierung dieses Bedrohungsakteurs
      Hinweis:
      Um einen neuen Alias hinzuzufügen, der in der Anwendung nicht vorhanden ist, klicken Sie auf das Symbol „Neue Aliasse hinzufügen“, das im Feld „Alias“ selbst verfügbar ist.
      Ziele Die übergeordneten Ziele dieses Bedrohungsakteurs, d. h. was er zu tun versucht. Zum Beispiel kann ihr persönliches Gewinnziel ihre Motivation sein, aber ihr Ziel besteht darin, Kreditkartennummern zu stehlen.
      Bedrohungsakteurtypen Die Typen dieses Bedrohungsakteurs.
      Bedrohungsakteurrollen Die verschiedenen Bedrohungsakteurrollen für dieses Objekt.
      Erstmals aufgetreten Zeitpunkt, zu dem dieser Bedrohungsakteur zum ersten Mal aufgetreten ist.

      Diese Eigenschaft ist eine Zusammenfassungseigenschaft von Daten aus Sichtungen und anderen Daten, die in STIX möglicherweise nicht verfügbar sind. Wenn neue Sichtungen empfangen werden, die vor dem ersten gesehenen Zeitstempel liegen, kann das Objekt aktualisiert werden, um die neuen Daten zu berücksichtigen.
      Zuletzt aufgetreten Zeitpunkt, zu dem dieser Bedrohungsakteur zuletzt gesehen wurde.
      Primäre Motivation Primärer Grund, primäre Motivation oder Zweck hinter diesem Bedrohungsakteur. Die Motivation gibt an, warum der Bedrohungsakteur das Ziel erreichen möchte (was er zu erreichen versucht).

      Zum Beispiel könnte ein Bedrohungsakteur, der das Ziel hat, den Finanzsektor eines Landes zu stören, durch ideologischen Hass auf Kapitalismus geleitet werden.
      Ausgereiftheit Fähigkeit, spezifisches Wissen, spezielle Schulung oder Fachwissen, die ein Bedrohungsakteur für den Angriff benötigt.
      Sekundäre Motivationen Diese Eigenschaft gibt die sekundären Gründe, Motivationen oder Zwecke hinter diesem Bedrohungsakteur an.

      Diese Motivationen können als gleiche oder fast gleiche Ursache zur primären Motivation existieren. Sie ersetzt jedoch nicht die primäre Motivation und erhöht sie auch nicht unbedingt, sondern kann auf zusätzlichen Kontext hindeuten. Die Position in der Liste hat keine Bedeutung.
      Ressourcenebene Die Organisationsebene, auf der dieser Bedrohungsakteur normalerweise arbeitet, was wiederum die Ressourcen bestimmt, die diesem Bedrohungsakteur für einen Angriff zur Verfügung stehen. Dieses Attribut ist mit der Ausgereiftheitseigenschaft verknüpft – eine bestimmte Ressourcenebene impliziert, dass der Bedrohungsakteur Zugriff auf mindestens eine bestimmte Ausgereiftheitsstufe hat.
      Vertrauen Geben Sie die Konfidenz für diese Vorgehensweise ein.
      TLP TLP wird verwendet, um sicherzustellen, dass vertrauliche Informationen für die entsprechende Zielgruppe freigegeben werden. Vier Farben (weiß, grün, gelb und rot) kennzeichnen unterschiedliche Empfindlichkeitsgrade.
      Quelle Gibt die Bedrohungsquelle an, aus der dieser Objektdatensatz erstellt wird.
      Widerrufen Gibt an, dass die widerrufenen Objekte vom Objektersteller nicht mehr als gültig betrachtet werden.
      Tabelle : 2. Einblicke
      Feld Beschreibung
      Notizen Fügen Sie zusätzliche Hinweise für diesen Bedrohungsakteur hinzu.
      Tabelle : 3. Zusätzliche Informationen
      Feld Beschreibung
      Zusätzlicher Kontext Fügen Sie zusätzlichen Kontext für dieses Angriffsmuster hinzu.
      Spezifikationsversion Die Version der STIX-Spezifikation, die zur Darstellung dieses Objekts verwendet wird.

      Der Wert dieser Eigenschaft muss für STIX-Objekte, die gemäß dieser Spezifikation definiert sind, 2.1 sein.
      Lang Diese Eigenschaft gibt die Sprache des Textinhalts in diesem Objekt an.
      Erstellungszeit in Quelle Gibt die Zeit an, zu der das Objekt in der Quelle erstellt wird.
      Erweiterungen Gibt die Erweiterungen des Angriffsmusters an.
      Änderungszeit in Quelle Gibt den Zeitpunkt an, zu dem das Objekt in der Quelle geändert wird.
      Verarbeitungsstatus Stellt den Verarbeitungsstatus dieses Objekts dar, diese Vorgehensweise
      Erstellt Gibt Datum und Uhrzeit der Erstellung des Objekts in der Quelle an.
      Aktualisiert Gibt Datum und Uhrzeit an, zu der das Objekt in der Quelle aktualisiert wurde.
      Erstellt von Ref Diese Eigenschaft gibt an, dass das Identitätsobjekt, das die Entität beschreibt, dieses Objekt erstellt hat.
    6. Klicken Sie auf Speichern.
      Nach dem Speichern wird eine Eingabeaufforderung angezeigt, die angibt, dass ein neuer erkennbarer Datensatz erstellt wird. Klicken Sie auf „Fortsetzen“, um den Datensatz zu bearbeiten und neue Beziehungen zu erstellen.
    7. Klicken Sie auf Fortsetzen.
      Wichtig:
      Nachdem Sie einen neuen Datensatz für ein erkennbares Element erstellt haben, wird das Kontrollkästchen Systemaktualisierungen verhindern angezeigt.

      Aktivieren Sie dieses Kontrollkästchen, um Aktualisierungen vom System zu verhindern, nachdem die Datensätze für erkennbare Elemente, Indikatoren oder STIX-Objekte erstellt wurden.

      Tabelle : 4. Tags und Taxonomien
      Feld Beschreibung
      Tags
      Tags auswählen Wählen Sie die Tags aus, die dem Bedrohungsakteur zugeordnet sind.
      Tags hinzufügen Fügen Sie neue Tags hinzu.
      Taxonomien
      Taxonomie auswählen Wählen Sie eine Taxonomie aus, die diesem Bedrohungsakteur zugeordnet ist.
      Taxonomiewerte hinzufügen Fügen Sie Taxonomiewerte hinzu, die diesem Bedrohungsakteur zugeordnet sind.

    Nächste Maßnahme

    Klicken Sie auf eine der folgenden zugehörigen Listen, um zusätzliche Informationen zu Objekten anzuzeigen, die dem Bedrohungsakteur zugeordnet sind.
    Tabelle : 5. Zugehörige Datensätze
    Feld Beschreibung
    Externe Referenzen Listet die externen Referenzen auf, die auf Nicht-STIX-Informationen verweisen. Diese Eigenschaft wird verwendet, um einen oder mehrere externe Objektbezeichner bereitzustellen.
    Angriffsmuster Listet die Angriffsmuster auf, die zur Kategorisierung von Angriffen dienen, die diesem Objekt zugeordnet sind.
    Kampagnen Listet die Kampagnen auf, die diesem Objekt zugeordnet sind.
    Identitäten Liste der Identitäten, die diesem Objekt zugeordnet sind.
    Infrastruktur Listet Systeme, Softwareservices und alle zugehörigen physischen oder virtuellen Ressourcen auf, die diesem Objekt zugeordnet sind.
    Angriffssätze Listet eine Reihe von Angreiferverhalten und -ressourcen mit allgemeinen Eigenschaften auf, die diesem Objekt zugeordnet sind.
    Standorte Liste der Standorte, die diesem Objekt zugeordnet sind.
    Malware Listet den Schadcode auf, der diesem Objekt zugeordnet ist.
    Marketingdefinitionen Listet die Marketingdefinitionen auf, die diesem Objekt zugeordnet sind.
    Erkennbare Elemente Listet die erkennbaren Elemente auf, die diesem Objekt zugeordnet sind.
    Sichtungen Listet die Sichtungen auf, die diesem Objekt zugeordnet sind.
    Tools Listet legitime Software auf, die von Bedrohungsakteuren für Angriffe im Zusammenhang mit diesem Objekt verwendet wird.
    Hinweis:
    1. Sie können die zugehörigen Datensätze, die diesem Objekt zugeordnet sind, verknüpfen und die Verknüpfung aufheben. Weitere Informationen finden Sie unter Zugehörige Datensätze zu Bedrohungsinformationen verknüpfen.
    2. Die verschiedenen SDOs in der TI-Bibliothek enthalten auch die potenziellen Beziehungen. Um Beziehungen zwischen zwei Objekten herzustellen, verwenden Sie den Link „Potenzielle Beziehungen“ aus der Threat Intel Library, um die Beziehungen zwischen den Objekten zu bestätigen. Weitere Informationen finden Sie unter Bestätigen Sie die Beziehungen zwischen Objekten und potenziellen Objekten.
    3. Verwenden Sie außerdem den Abschnitt „Zugehörige Datensätze“ aus der Formularansicht „Objekte“, um die Beziehungen zwischen zwei Objekten mithilfe des Abschnitts „Potenzielle Beziehungen“ in der Formularansicht zu bestätigen. Weitere Informationen zu finden Sie unter Bestätigen Sie potenzielle Beziehungen aus zugehörigen Datensätzen.
    4. Sie können Objekte zu Fällen hinzufügen. Weitere Informationen finden Sie unter Dem Fall hinzufügen.